Règlement général sur la protection des données: des changements majeurs en France pour les entreprises

Le règlement européen sur la protection des données

Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (le « Règlement ») va entrer en vigueur le 25 mai 2018 (Règlement, art. 99). Cette nouvelle règlementation bouleverse le régime aujourd’hui applicable et impose aux acteurs ayant recours à un tel traitement (les « Acteurs ») de strictement s’y adapter.

Pourquoi avez-vous besoin de nous ?

La finalité du Règlement réside dans la mise en place d’un renforcement de la protection des citoyens européens eu égard à l’incidence des nouvelles réalités numériques sur le traitement de leurs données personnelles en considération de l’utilité pour la société du traitement de ces données. La nouvelle règlementation intervient donc dans un objectif de conciliation de la protection des intérêts particuliers et de l’intérêt général.

La mise en œuvre d’une telle protection se traduit, notamment, par la mise en place d’un nouveau régime impératif, impactant directement l’ensemble des Acteurs. Le message est ainsi clair : il ne reste que six mois à ces derniers pour adapter leur pratique et se mettre en conformité avec le Règlement. Cette action est d’autant plus indispensable que le Règlement ne se limite pas à renforcer les obligations des Acteurs puisqu’il augmente parallèlement considérablement les risques encourus en cas de non-respect de ses prescriptions. Dans sa volonté de renforcement de cette protection, le Règlement aggrave en effet les sanctions puisque le « recours collectif » est désormais possible (Règlement, art. 78 et 79) et que le texte reconnait un « droit à réparation » (Règlement, art. 82). Le Règlement fixe par ailleurs le montant des amendes (Règlement, art. 83) pouvant s’élever à 20 millions d’euros ou 4% du chiffre d’affaires mondial.

Un certain nombre de nouvelles règles impactent directement le mode de fonctionnement des Acteurs puisqu’elles constituent des mesures qui étaient jusqu’à lors inexistantes auxquelles il va être indispensable de se conforter. Sans que l’objectif ne réside dans une énumération exhaustive des nouvelles règles applicables en matière de traitement des données, un certain nombre d’entre elles vont contraindre les Acteurs à adapter leur mode de fonctionnement. Il en va ainsi notamment s’agissant de consentement, de la tenue d’un registre détaillé des traitements opérés, du renforcement des mesures relatives respect de la vie privée ou encore du transfert des données vers un pays n’appartenant pas à l’Union européenne.

Consentement explicite – Bien que certaines exceptions persistent, le consentement des citoyens européens à voir leurs données traitées, qui peut d’ailleurs être retiré à tout moment (Règlement, art. 7, 3°), doit être exprimé explicitement (Règlement, art. 4) et son existence doit être démontré par l’entreprise à l’origine du traitement des données (Règlement, art. 7, 1°). Ce renforcement des caractères libre et éclairé du consentement est d’ailleurs encouragé par la mainmise de son propriétaire sur ses données puisque lui sont désormais reconnus les droits à la rectification, à la suppression, et à l’oubli des données (Règlement, art. 17). Ce changement impact différents pays et spécialement la France pour laquelle la loi informatique et liberté n° 78-17 du 6 janvier 1978 posait le principe inverse du consentement tacite en se bornant à en énumérer limitativement les exceptions (Loi Informatique et Libertés, art. 8, 33 et 56).

Tenue d’un registre détaillé – Chaque Acteur traitant des données personnelles aura désormais l’obligation de tenir un registre détaillé des traitements opérés qui doit pouvoir être transmis à tout moment aux autorités compétentes. Chaque sous-traitant, même en dehors de l’Union Européenne, devra se conformer à cette même obligation (Règlement, art. 30). Cette nouveauté implique alors une adaptation interne de chaque Acteur et une indispensable mise à jour permanente du registre.

Respect de la vie privée – Le traitement des données personnelles nécessitera, sous le régime du Règlement, de renforcer la protection de la vie privée des citoyens européens et ce, en amont du traitement des données (Règlement, art. 35). En pratique, il sera donc nécessaire d’analyser l’impact de l’opération de traitement sur la vie privée de la personne concernée par la mise en place, par exemple, d’une grille d’évaluation interne appliquée pour chaque traitement.

Transfert des données vers un pays hors Union européenne – Le transfert des données vers des pays étrangers est désormais encadré. Le protectionnisme recherché par le Règlement justifie en effet un contrôle attentif de la règlementation du pays destinataire des données. Outre le consentement préalable de l’intéressé (Règlement, art. 49), le transfert vers un pays dont la règlementation n’offre pas aux personnes une protection au moins équivalente à celle accordée par le Règlement devra être encadré, notamment par le jeu de clauses spécifiques de garanties (art. 45). L’objectif est de palier contractuellement une protection insuffisante offerte par la législation applicable dans le pays destinataire.

Comment allons-nous vous aider ?

Le Règlement prévoit la nomination obligatoire d’un délégué à la protection des données pour les organismes dont « les activités de base (…) exigent un suivi régulier et systématique à grande échelle des personnes concernées » ou lorsque « le traitement est effectué par une autorité publique ou un organisme public » (Règlement, art. 37). Si cette nomination voit son champ d’application limité, il est toutefois vivement conseillé de systématiquement y recourir.

En attendant que le Règlement n’entre en vigueur et dans une optique d’anticipation, il est ainsi recommandé de recourir à un Correspond Informatique et Libertés (le « CIL »), l’équivalent actuel du futur Délégué qui peut être un avocat.

Notre cabinet intervient dans ce domaine en ayant une place de conseil auprès des Acteurs et de référent auprès de la CNIL sur les problématiques relatives à la protection des données personnelles. Notre mission sera donc d’aider, mais surtout de garantir aux Acteur une conformité avec le Règlement.

Nous accompagnerons alors l’entreprise en suivant deux étapes. La première, indispensable, consiste en un état de lieux du traitement des données tel qu’il est aujourd’hui mis en place. Cette étape permettra alors in fine d’identifier les risques en considération des dispositions du Règlement. La seconde étape consistera alors, sur la base de ces risques, à aider l’entreprise à se conformer au Règlement afin de satisfaire à son obligation de mettre en œuvres les mécanismes et procédures internes nécessaires au respect des règles relatives à la protection des données personnelles données au jour de son entrée en vigueur.